到目前為止，事實證明，2021年對科技巨頭微軟來說算得上“安全重災(zāi)年”，許多漏洞影響了其多項領(lǐng)先服務(wù)，包括Active Directory、Exchange和Azure。微軟經(jīng)常淪為試圖利用已知漏洞和零日漏洞攻擊者的目標(biāo)，但自今年3月初以來，它所面臨的事件發(fā)生率和規(guī)模已經(jīng)讓這家科技巨頭亂了陣腳。

　　以下是2021年困擾微軟的重大安全事件時間表：

　　3月2日：Microsoft Exchange Server漏洞

　　第一個值得關(guān)注的安全事件發(fā)生在3月，當(dāng)時微軟宣布其Exchange Server中存在漏洞CVE-2021-26855。該漏洞可在一個或多個路由器的協(xié)議級別遠(yuǎn)程執(zhí)行和利用。雖然該攻擊復(fù)雜性被歸類為“低”，但微軟表示CVE-2021-26855正在被積極利用。

　　更重要的是，該漏洞可以在沒有任何用戶交互的情況下被利用，并導(dǎo)致設(shè)備完全喪失機密性和保護。根據(jù)微軟的說法，拒絕對443端口上Exchange服務(wù)器的不可信訪問，或者限制來自公司網(wǎng)絡(luò)外部的連接，以阻止攻擊的初始階段。但是，如果攻擊者已經(jīng)在基礎(chǔ)架構(gòu)中，或者如果攻擊者獲得具有管理員權(quán)限的用戶來運行惡意文件，這將無濟于事。

　　隨后，Microsoft發(fā)布了安全補丁并建議緊急在面向外部的Exchange服務(wù)器上安裝更新。

　　6月8日：微軟修補了六個零日安全漏洞

　　微軟針對影響各種Windows服務(wù)的安全問題發(fā)布了補丁，其中六個嚴(yán)重漏洞已經(jīng)成為攻擊者的積極目標(biāo)。這6個零日漏洞是：

　　CVE-2021-33742：Windows HTML組件中的遠(yuǎn)程代碼執(zhí)行漏洞；

　　CVE-2021-31955：Windows內(nèi)核中的信息泄露漏洞；

　　CVE-2021-31956：Windows NTFS中的提權(quán)漏洞；

　　CVE-2021-33739：Microsoft桌面窗口管理器中的特權(quán)提升漏洞；

　　CVE-2021-31201：Microsoft Enhanced Cryptographic Provider中的特權(quán)提升漏洞；

　　CVE-2021-31199：Microsoft Enhanced Cryptographic Provider中的特權(quán)提升漏洞；

　　7月1日：Windows Print Spooler漏洞

　　安全研究人員在GitHub上公開了一個Windows Print Spooler遠(yuǎn)程代碼執(zhí)行0day漏洞（CVE-2021-34527）。需要注意的是，該漏洞與Microsoft 6月8日星期二補丁日中修復(fù)并于6月21日更新的一個EoP升級到RCE的漏洞（CVE-2021-1675）不是同一個漏洞。這兩個漏洞相似但不同，攻擊向量也不同。

　　微軟警告稱，該漏洞已出現(xiàn)在野利用。當(dāng) Windows Print Spooler 服務(wù)不正確地執(zhí)行特權(quán)文件操作時，存在遠(yuǎn)程執(zhí)行代碼漏洞。成功利用此漏洞的攻擊者可以使用 SYSTEM 權(quán)限運行任意代碼、安裝程序、查看并更改或刪除數(shù)據(jù)、或創(chuàng)建具有完全用戶權(quán)限的新帳戶，但攻擊必須涉及調(diào)用 RpcAddPrinterDriverEx（） 的經(jīng)過身份驗證的用戶。

　　專家建議的緩解措施包括立即安裝安全更新，同時確保以下注冊表設(shè)置設(shè)置為“0”（零）或未定義：

　HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint

　　NoWarningNoElevationOnInstall = 0 （DWORD） or not defined （default setting）

　　UpdatePromptSettings = 0 （DWORD） or not defined （default setting）

　　8月：研究人員披露Microsoft Exchange Autodiscover漏洞

　　Autodiscover是Microsoft Exchange用來自動配置outlook這類Exchange客戶端應(yīng)用的工具。8月份，安全供應(yīng)商Guardicore的研究人員發(fā)現(xiàn)，Microsoft Exchange Autodiscover存在一個設(shè)計缺陷，導(dǎo)致該協(xié)議將Web請求“泄漏”到用戶域外的Autodiscover域，但仍在同一頂級域（TLD）中，例如 Autodiscover.com。

　　事實上，Autodiscover漏洞并不是一個新問題。早在2017年，Shape Security就首次披露了該核心漏洞，并在當(dāng)年的Black Hat Asia上展示了調(diào)查結(jié)果。當(dāng)時，CVE-2016-9940 和 CVE-2017-2414 漏洞被發(fā)現(xiàn)僅影響移動設(shè)備上的電子郵件客戶端。不過，Shape Security披露的漏洞已得到修補，而在2021年更多第三方應(yīng)用程序再次面臨相同的問題。

　　與此同時，微軟開始調(diào)查并采取措施減輕威脅以保護客戶。微軟高級主管Jeff Jones表示，“我們致力于協(xié)調(diào)漏洞披露，這是一種行業(yè)標(biāo)準(zhǔn)的協(xié)作方法，可在問題公開之前降低客戶面臨不必要的風(fēng)險。不幸的是，這個問題在研究人員向媒體披露之前并沒有報告給我們，所以我們今天才知道這些說法。而且，我的報告也清楚地引用了2017 年提出這個問題的研究。這不是零日漏洞，它已經(jīng)存在了至少1460天。微軟不可能不知道這個漏洞?！?/p>

　　8月26日：研究人員訪問了數(shù)千名Microsoft Azure客戶的數(shù)據(jù)

　　8 月 26 日，云安全供應(yīng)商Wiz宣布，在Microsoft Azure的托管數(shù)據(jù)庫服務(wù)Cosmos DB中發(fā)現(xiàn)了一個漏洞， Wiz將其命名為“Chaos DB”，攻擊者可以利用該漏洞獲得該服務(wù)上每個數(shù)據(jù)庫的讀/寫訪問權(quán)限。盡管Wiz在兩周前才發(fā)現(xiàn)了該漏洞，但該公司表示，該漏洞已經(jīng)在系統(tǒng)中存在“至少幾個月，甚至幾年”。

　　被告知存在漏洞后，微軟安全團隊禁用了易受攻擊的Notebook功能，并通知超過30%的Cosmos DB客戶需要手動輪換訪問密鑰以減少風(fēng)險，這些是在Wiz探索漏洞一周左右內(nèi)啟用了Jupyter Notebook功能的客戶。此外，微軟還向Wiz支付了40,000美元的賞金。目前，微軟安全團隊已經(jīng)修復(fù)了該漏洞。

　　9月7日：Microsoft MSHTML漏洞

　　9月7日，微軟發(fā)布安全通告披露了Microsoft MSHTML遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2021-40444），攻擊者可通過制作惡意的ActiveX控件供托管瀏覽器呈現(xiàn)引擎的Microsoft Office文檔使用，成功誘導(dǎo)用戶打開惡意文檔后，可在目標(biāo)系統(tǒng)上以該用戶權(quán)限執(zhí)行任意代碼。微軟在通告中指出已檢測到該漏洞被在野利用，請相關(guān)用戶采取措施進行防護。

　　據(jù)悉，MSHTML（又稱為Trident）是微軟旗下的Internet Explorer 瀏覽器引擎，也用于 Office 應(yīng)用程序，以在 Word、Excel 或 PowerPoint 文檔中呈現(xiàn) Web 托管的內(nèi)容。AcitveX控件是微軟COM架構(gòu)下的產(chǎn)物，在Windows的Office套件、IE瀏覽器中有廣泛的應(yīng)用，利用ActiveX控件即可與MSHTML組件進行交互。

　　微軟于9月14日發(fā)布了安全更新以解決該漏洞，并敦促客戶及時更新反惡意軟件產(chǎn)品。

　　9月14日：微軟披露了幾個未被利用的漏洞

　　在發(fā)布安全更新以緩解Trident漏洞的同一天，微軟發(fā)布了有關(guān)其服務(wù)中大量未利用（在披露時）漏洞的詳細(xì)信息。

　　CVE-2021-36968：Windows DNS中的提權(quán)漏洞。攻擊者通過本地（例如鍵盤、控制臺）或遠(yuǎn)程（例如SSH）訪問目標(biāo)系統(tǒng)來利用該漏洞；或者攻擊者依賴他人的用戶交互來執(zhí)行利用漏洞所需的操作（例如，誘騙合法用戶打開惡意文檔）。該漏洞攻擊復(fù)雜度和所需權(quán)限低，無需用戶交互即可本地利用。

　　CVE-2021-38647：影響Azure開放管理基礎(chǔ)結(jié)構(gòu)（OMI）的遠(yuǎn)程代碼執(zhí)行漏洞。該漏洞的攻擊復(fù)雜性較低，無需用戶交互，并且可能導(dǎo)致完全拒絕訪問受影響組件中的資源。8月11日在GitHub上發(fā)布了修復(fù)程序，以允許用戶在發(fā)布完整的CVE詳細(xì)信息之前降低風(fēng)險。

　　CVE-2021-36965：影響Windows WLAN AutoConfig服務(wù)的漏洞。該漏洞綁定到網(wǎng)絡(luò)堆棧，但攻擊僅限于協(xié)議級別的邏輯相鄰?fù)負(fù)?。這意味著攻擊必須從相同的共享物理或邏輯網(wǎng)絡(luò)發(fā)起，或者從安全或其他受限的管理域內(nèi)發(fā)起。該漏洞利用僅限于由同一安全機構(gòu)管理的資源。

　　CVE-2021-36952：該遠(yuǎn)程代碼執(zhí)行Visual Studio可能導(dǎo)致攻擊者完全拒絕訪問受影響組件中的資源。

　　CVE-2021-38667：影響Windows Print Spooler的新提權(quán)漏洞。攻擊者被授權(quán)（即需要）提供基本用戶功能的特權(quán)，這些功能通常只能影響用戶擁有的設(shè)置和文件?；蛘撸哂械蜋?quán)限的攻擊者可能有能力僅對非敏感資源造成影響。CVE-2021-36975和CVE-2021-38639：微軟也共享了兩個影響Win32k的新特權(quán)提升漏洞。兩者都有可能被攻擊者反復(fù)成功利用。

　　9月16日：攻擊者利用ManageEngine ADSelfService Plus中的漏洞

　　來自FBI、美國海岸警衛(wèi)隊網(wǎng)絡(luò)司令部（CGCYBER）和CISA的聯(lián)合咨詢警告稱，Zoho ManageEngine ADSelfService Plus平臺存在嚴(yán)重的身份驗證繞過漏洞，該漏洞可導(dǎo)致遠(yuǎn)程代碼執(zhí)行（RCE），從而為肆無忌憚的攻擊者打開公司大門，攻擊者可以自由控制用戶的Active Directory（AD）和云帳戶。

　　Zoho ManageEngine ADSelfService Plus是一個針對AD和云應(yīng)用程序的自助式密碼管理和單點登錄（SSO）平臺，這意味著任何能夠控制該平臺的網(wǎng)絡(luò)攻擊者都會在兩個關(guān)鍵任務(wù)應(yīng)用程序（和他們的敏感數(shù)據(jù)）中擁有多個軸心點。換句話說，它是一個功能強大的、高度特權(quán)的應(yīng)用程序，無論是對用戶還是攻擊者都可以作為一個進入企業(yè)內(nèi)部各個領(lǐng)域的便捷入口點。

　　9月27日：APT29以Active Directory聯(lián)合身份驗證服務(wù)為目標(biāo)

　　安全研究人員標(biāo)記了一個與俄羅斯政府有聯(lián)系的網(wǎng)絡(luò)間諜組織，該組織部署了一個新的后門，旨在利用Active Directory聯(lián)合服務(wù)（AD FS）并竊取配置數(shù)據(jù)庫和安全令牌證書。微軟將惡意軟件程序FoggyWeb歸咎于NOBELIUM（也稱為 APT29 或 Cozy Bear）組織——被認(rèn)為是 SUNBURST后門的幕后黑手。微軟表示已通知所有受影響客戶，并建議用戶：

　　審核本地和云基礎(chǔ)架構(gòu)，包括配置、每個用戶和每個應(yīng)用程序的設(shè)置、轉(zhuǎn)發(fā)規(guī)則以及參與者可能為維持訪問而進行的其他更改；

　　刪除用戶和應(yīng)用程序訪問權(quán)限，審查每個用戶/應(yīng)用程序的配置，并按照記錄在案的行業(yè)最佳實踐重新頒發(fā)新的、強大的憑據(jù)；

　　使用硬件安全模塊（HSM）以防止FoggyWeb泄露機密數(shù)據(jù)；

　　10月：發(fā)布并修復(fù)4個零日漏洞

　　10月12日，微軟發(fā)布了4個0day漏洞，它們分別為：

　　CVE-2021-40449：Win32k權(quán)限提升漏洞。調(diào)查顯示，有黑客組織在利用該0day漏洞進行針對IT公司、軍事/國防承包商和外交實體的廣泛間諜活動。攻擊者通過安裝遠(yuǎn)程訪問木馬，利用該漏洞獲取更高的權(quán)限。

　　CVE-2021-40469：Windows DNS服務(wù)器遠(yuǎn)程代碼執(zhí)行漏洞。在域控制器上實現(xiàn)遠(yuǎn)程代碼執(zhí)行的攻擊者獲取域管理員權(quán)限的后果很嚴(yán)重，不過幸好，該漏洞很難武器化。

　　CVE-2021-41335：Windows內(nèi)核權(quán)限提升漏洞。該漏洞已公開披露在POC（概念驗證）中，成功利用可允許攻擊者在內(nèi)核模式下運行任意代碼，這種漏洞通常是攻擊鏈中重要的一部分。

　　CVE-2021-41338：Windows AppContainer防火墻規(guī)則安全功能繞過漏洞。AppContainer能夠阻止惡意代碼，防止來自第三方應(yīng)用的滲透。而該漏洞允許攻擊者繞過Windows AppContainer防火墻規(guī)則，且無需用戶交互即可加以利用。

　　微軟仍然是重點攻擊目標(biāo)

　　正如過去幾個月發(fā)生的事件所示，Microsoft 服務(wù)仍然是攻擊和漏洞利用的重要目標(biāo)，而其中的漏洞更是層出不窮。Forrester研究總監(jiān)兼首席分析師Merritt Maxim表示，“微軟應(yīng)用程序和系統(tǒng)仍然是黑客眼中的高價值目標(biāo)，因為它們在全球范圍內(nèi)廣泛部署?！?/p>

　　Maxim估計，大約80%的企業(yè)都以某種形式在全球范圍內(nèi)使用Microsoft Active Directory。鑒于Active Directory正充當(dāng)用戶身份驗證憑據(jù)（以及其他功能）的存儲庫，而身份驗證憑據(jù)對于黑客來說又是極具價值的數(shù)據(jù)源，因此黑客將繼續(xù)針對Microsoft系統(tǒng)實施攻擊。

　　攻擊者會根據(jù)價值選擇自己的目標(biāo)，系統(tǒng)或程序越流行，它對黑客的價值就越大。此外，由于微軟的復(fù)雜性和廣泛性，其暴露的攻擊面也異常大，其中大部分還是可以遠(yuǎn)程訪問的。流行度和大規(guī)模遠(yuǎn)程可訪問攻擊面的結(jié)合創(chuàng)造了一個完美的目標(biāo)。

　　微軟對安全事件的回應(yīng)

　　在反思微軟對安全事件的反應(yīng)和處理時，Netenrich 首席威脅獵手John Bambenek表示，該公司總體上做得很好。如果有需要改進的地方的話，他們可能需要擁有最完善的產(chǎn)品安全流程。

　　Maxim對此表示贊同。他表示，“考慮到他們的系統(tǒng)無處不在，想要跟蹤每個可能的漏洞是一項不可能完成的任務(wù)。微軟需要繼續(xù)加大投資其原生產(chǎn)品的安全功能，并通過微軟威脅情報中心等機構(gòu)繼續(xù)提供對影響其平臺的新興惡意軟件的詳細(xì)分析和調(diào)查，以使企業(yè)了解情況并受到保護?！?/p>

　　不過，即便微軟迅速做出反應(yīng)并嘗試修補漏洞，但由于最近的幾個補丁不完整，還是導(dǎo)致了大規(guī)模的漏洞利用。Kolodenker解釋稱，“許多Microsoft高危漏洞都是合法的安全專業(yè)人員發(fā)現(xiàn)的，只有在最初的補丁發(fā)布后，攻擊者才開始猖獗利用。而在補丁廣泛采用之前發(fā)布概念公開證明（PoC）只會進一步加劇這種情況?！?/p>

　　這就是為什么組織不能僅僅依賴服務(wù)提供商提供的安全更新和修復(fù)，他們自己也必須承擔(dān)一部分責(zé)任，及時應(yīng)用安全補丁和修復(fù)程序來減輕“以漏洞為中心”的漏洞利用和攻擊風(fēng)險。

　　Jartelius提倡將預(yù)防性和反應(yīng)性方法相結(jié)合。他表示，“就像我們反復(fù)測試火警系統(tǒng)一樣，我們也應(yīng)該測試這些安全防御機制。使用內(nèi)部或外部團隊來模擬真實攻擊，同時，練習(xí)觀察和響應(yīng)攻擊的公司，通常會在淪為現(xiàn)實世界的目標(biāo)之前及時發(fā)現(xiàn)自身存在的防御缺陷?！?/p>